先日、Googleは、DroidDreamに感染したデバイスを駆除するAndroid Market Security Toolをリリースしました。このAndroid/DrdDreamファミリーのマルウェアは、2つのエクスプロイト(Expoit/LVedu、Exploit/DiutesEx)により、脆弱なAndroidデバイスのルートアクセスを取得します。既に50以上のAndroidアプリケーションの感染が報告されており、すべてAndroid Marketからダウンロードされていました。アプリケーションはいずれも、マルウェアの作者により悪性コードが組み込まれて再パッケージ化された、正規のプログラムでした。
Android/DrdDreamは情報(IMEI、IMSI、OSのバージョンなど)を攻撃者に送信し、さらにペイロードをダウンロードしようとします。マルウェアは2つのルートエクスプロイトを利用しますが、実際にはルートアクセスがなくても、データを攻撃者に送信できます。
Android Market Security Toolとは
Googleは、Android Marketのヘルプサイトでツールについて既に公式声明を発表しており、Android/DrdDreamを駆除するために講じた対策を挙げています(「March 2011 Security Issue(2011年3月セキュリティ問題)」
- 開発者のアカウント(3人のユーザー)を凍結し、悪質なアプリケーションをAndroid Marketから削除
- 悪質なアプリケーションを感染デバイスから遠隔操作でアンインストール
- 感染デバイスにAndroid Market Security Toolをプッシュ
これまでも悪質なAndroidアプリケーションを処理するために、アカウントの無効化、アプリケーションのAndroid Marketからの削除、遠隔操作によるアプリケーションの強制終了が行われてきました。セキュリティアプリケーションの携帯電話への送信は、これまでにない手段です。このGoogleのセキュリティツールはAndroid Marketで提供されているため、入手し、モバイルマルウェア駆除ツールの中身について分析を行ってみました。
Android Market Security Toolは、droiddreamcleanという名前の非Dalvikネイティブのアプリケーションコンポーネントが組み込まれたAndroidアプリケーションです。Android/DrdDreamは、感染した携帯電話に追加ファイル(ネイティブバイナリ、追加APKなど)を作成します。ファイルはアプリケーションディレクトリ外に置かれるため、アプリケーションをアンインストールしただけでは、携帯電話から削除されません。駆除するには、標準的なAndroidアプリケーションがアクセスできないレベルでファイルシステムにアクセスする必要があります。このセキュリティアプリケーションは、droiddreamcleanを起動して、追加ファイルを削除し、セキュリティ設定を復元します。
[ クリックすると拡大します ]
DownloadProvidersManager.apkを削除します。これにより、マルウェアは追加のマルウェアやアップデートをデバイスにダウンロードできなくなります。
ルートアクセスを取得したAndroid/DrdDreamは、2番目のペイロードをアセットディレクトリからアプリケーションディレクトリにコピーしようとします。これは、Android Marketを完全に回避する手動インストールであり、Marketでインストールが記録されないため、遠隔操作で強制終了することができません。droiddreamcleanにはこの問題はなく、「pm」パッケージマネージャーの使用、APKの手動削除の2つのアンインストール方法を試します。
マルウェアは、名称変更された「su」実行ファイルを他のシステムコマンドのディレクトリにコピーしました。これにより、攻撃者や更新されたマルウェアは将来、ルートアクセスを取得できます。Android Market Security Toolは、Android/DrdDreamのダウンローダーコンポーネントと同じようにこの実行ファイルを処理します。
[ クリックすると拡大します ]
Android Market Security Toolで削除される58個のパッケージ
droiddreamcleanが終了すると、Android Market Security Toolは、携帯電話からマルウェアが駆除されたことをGoogleに通知し、自身をアンインストールします。その後、マルウェアが駆除され、問題が解消されたことを知らせるメールがGoogleから送信されます。
[ クリックすると拡大します ]
Android Market Security Toolによる携帯電話のマルウェアの駆除が終了したことを知らせるGoogleからの通知
Android Market Security Toolは十分か?
Android Market Security Toolはかなり包括的なツールですが、Android/DrdDreamとその副作用を解消するためだけに作成されたツールです。ツール自体はオペレーティングシステムを修正、リフレッシュしないため、Android/DrdDreamが利用した脆弱性はそのまま残ります。オペレーティングシステムをアップデートするためには、影響を受けるAndroidデバイスのメーカーの支援も必要でしょう。
今後、同様の感染が発生するに従って、Googleはセキュリティソフトベンダーが歩んだのと同じ道をたどり、定期的なアップデートを提供する必要があるかもしれません。今回のセキュリティツールの作成、およびAndroid/DrdDreamの問題を処理するために注いだ労力を見れば、Googleがモバイルセキュリティソフトウェアの必要性を理解していることがわかります。
関連記事
- [2011/08/22] 通話内容を記録する最新のAndroidマルウェア:1年間の進化の軌跡
- [2011/08/15] Androidスパイウェア「SMS Spy」
- [2011/07/19] Android版ZeuSを解析する:その真相は?
- [2010/08/20] モバイルのセキュリティ-3:Androidのセキュリティ
- [2010/08/17] 古い手法の新たなAndroidマルウェアを発見
※本ページの内容はMcAfee Blogの抄訳です。
原文:Google Tool Cleans Up Mobile Malware ‘Dream’